Gesellschaft für Datenschutz

und Datensicherheit e.V.

GDD-Praxishilfe DS-GVO
ePrivacy und Datenschutz beim Onlineauftritt
 INHALT

1. Einleitung ..................................................................... 3

2. TTDSG............................................................................ 3
2.1 Anwendungsbereich des TTDSG ........................................................... 3
2.2 Anforderungen an Cookies und Co. nach § 25 TTDSG ............................ 3
2.3 Cookie-/Consent-Banner.................................................................... 6
2.4 Anwendbarkeit von § 25 TTDSG auf Cookies vergleichbare
Verfahren, z.B. sog. Browser- oder Device-Fingerprinting ...................... 8

3. DS-GVO.......................................................................... 8
3.1 Anwendungsbereich der DS-GVO ......................................................... 8
3.2 Anforderungen der DS-GVO an (Online-)Datenverarbeitungen
und Verhältnis von DS-GVO und TTDSG ............................................... 10
3.3 Betroffenenrechte .......................................................................... 10
3.3.1 Allgemeines .............................................................................. 10
3.3.2 Auskunft ................................................................................... 11
3.3.3 Löschung .................................................................................. 11
3.4 Datenschutzerklärung ..................................................................... 12

4. Anbieterkennzeichnung („Impressum“)......................... 14
1. Einleitung
Betreiber von Websites, Apps und Co. haben die
Vorgaben des Telekommunikation-Telemedien-Da-
tenschutz-Gesetz (TTDSG), insbes. § 25 TTDSG, so-
wie die Vorgaben der Datenschutz-Grundverordnung
(DS-GVO) zu beachten. § 25 TTDSG setzt europäi-
sche Vorgaben, konkret: Art. 5 Abs. 3 ePrivacy-RL
(RL 2002/58/EG), nahezu wortgleich in nationa-
les Recht um. Die Interpretation der europäischen
Norm kann insofern auch für die Auslegung und
Anwendung der TTDSG-Bestimmung herangezogen
werden. Ursprünglich war vorgesehen, dass zeit-
gleich mit der DS-GVO am 25.05.2018 auch eine
diese ergänzende und die ePrivacy-RL ersetzende
ePrivacy-VO als in allen EU-Mitgliedstaaten unmit-
telbar geltendes Recht in Kraft treten sollte. Dies
ist nicht geschehen. Ob bzw. wann es noch zum
Inkrafttreten der ePrivacy-VO kommen wird, ist un-
klar. Bis zur Geltung der ePrivacy-VO gilt das be-
stehende europäische ePrivacy-Recht fort, also die
ePrivacy-RL in Fassung der sog. „Cookie Richtlinie“
(Richtlinie 2009/136/EG).
Im Folgenden wird erläutert, auf welche Ver-
haltensweisen des Websitebetreibers § 25 TTDSG
bzw. die DS-GVO konkret Anwendung finden, also
ihr sachlicher Anwendungsbereich. Zudem wird der
Rechtsrahmen dargestellt, der sich aus § 25 TTDSG
bzw. der DS-GVO ergibt, also was konkret mit den
personenbezogenen Daten der Websitenutzer/-in-
nen gemacht werden bzw. unter welchen Vorausset-
zungen beim Einsatz von Cookies und Co. auf deren
Endgeräte zugegriffen werden darf.
2. TTDSG
2.1 Anwendungsbereich des TTDSG
Das TTDSG enthält „besondere Vorschriften zum
Schutz personenbezogener Daten bei der Nutzung
von Telekommunikationsdiensten und Telemedien“,
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
vgl. § 1 Nr. 2 TTDSG. Anbieter von Telemedien ist
nach § 2 Abs. 2 Nr. 1 TTDSG jede natürliche oder
juristische Person, die eigene oder fremde Teleme-
dien erbringt, an der Erbringung mitwirkt oder den
Zugang zur Nutzung von eigenen oder fremden Te-
lemedien vermittelt.
Telemedien sind nach § 1 Abs. 1 S. 1 TMG alle
elektronischen Informations- und Kommunika-
tionsdienste, soweit sie nicht Telekommunikati-
onsdienste, telekommunikationsgestützte Dienste
oder Rundfunk sind (Telemedien). Beispiele für
Telemediendienste sind u.a. Online-Angebote von
Waren/Dienstleistungen mit unmittelbarer Bestell-
möglichkeit (z.B. Angebot von Verkehrs-, Wetter-,
oder Börsendaten, elektronische Presse, Fernseh-/
Radiotext, Teleshopping), Video on Demand, Inter-
netsuchmaschinen, Werbemails, aber auch bereits
„einfache“ Homepages zur Information über ein
Unternehmen bzw. eine öffentliche Stelle.
2.2 Anforderungen an Cookies und
Co. nach § 25 TTDSG
Beim Websitebetrieb kommen vielfach Cookies zum
Einsatz, die auf den Endgeräten der Nutzer/-innen
abgelegt und später wieder ausgelesen werden.
Was sind Cookies?1
Cookies sind kleine Textdateien, die
der Webbrowser auf dem Computer
speichert. Anhand von Cookies er-
kennt eine Website, wer sie gerade
besucht, und kann dadurch Nutzer-
präferenzen, wie z.B. Sprach- oder
Log-in-Informationen speichern,
damit der Nutzer die Einstellungen
nicht immer wieder neu vornehmen
bzw. sich immer wieder neu anmel-
den muss.
1 Die Erläuterungen zu den Cookies basieren auf den Ausfüh-
rungen bei Schwartmann/Benedikt/Reif, Sonderveröffentli-
chung RDV 5/2020.
3

Beim Onlineshopping verhindern
Cookies, dass sich mit jedem Aufruf
einer neuen Unterseite im Rahmen
des Webangebots der Warenkorb
leert. Beim Online-Marketing er-
möglicht der Einsatz von Cookies,
die Nutzerinteressen auch sitzungs-
übergreifend zu ermitteln und so
möglichst zielgenaue Onlinewer-
bung auszuspielen. Dabei handelt
es sich um sog. persistente Cookies,
die dauerhaft im System des Nut-
zers hinterlegt werden. Von diesen
zu unterscheiden sind sog. Session
Cookies. Session Cookies werden
gelöscht, sobald der User nach der
Internetsitzung (englisch: Session)
den Browser schließt.
Sofern Cookies von der Website
gesetzt werden, auf der sich der
Nutzer gerade befindet, spricht man
von „First Party Cookies“. „Third
Party Cookies“ sind demgegenüber
Cookies, die nicht vom Betreiber der
Website, sondern von einem Dritten
platziert werden, dessen Inhalte auf
der besuchten Website eingebunden
sind. „Third Party Cookies“ liefern
ein deutlich klareres Bild der Nut-
zerpräferenzen, denn mit diesen
kann nicht mehr nur nachverfolgt
werden, wofür der Nutzer sich
innerhalb des eigenen Webauftritts
interessiert, sondern über verschie-
dene Onlineangebote hinweg.
Zum Schutz der Privatsphäre des Nutzers bei Nut-
zung von z.B. PCs, Laptops, Tablets oder Smart-
phones knüpft § 25 Abs. 1 TTDSG das Setzen und
Auslesen von Cookies bzw. vergleichbare Verfahren
im Grundsatz an eine vorherige Einwilligung des
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
Nutzers. Von diesem grundsätzlichen Einwilligungs-
erfordernis sind nach § 25 Abs. 2 TTDSG lediglich
zwei Ausnahmen vorgesehen.
Praxisrelevant ist v.a. die zweite
in § 25 Abs. 2 TTDSG vorgesehene
Ausnahme, wonach der Einsatz von
Cookies & Co. keine Einwilligung
des Nutzers erfordert, sofern
Cookies unbedingt erforderlich sind
zur Erbringung eines vom Nutzer
ausdrücklich gewünschten Diens-
tes.
Als einwilligungsfrei möglich werden etwa nach-
folgende Kategorien von Cookies angesehen, so-
fern die Cookies nicht für weitere Zwecke verwendet
werden:2
>> User-Input-Cookies (Session-ID) für die Dauer
einer Sitzung oder in bestimmten Fällen per-
sistente Cookies, deren Gültigkeitsdauer auf
wenige Stunden beschränkt ist
Gemeint sind Cookies, die der einheitlichen Ver-
folgung von Nutzereingaben bei einer Reihe
von Nachrichtenaustauschvorgängen mit einem
Dienstleister dienen. Beispiel: Warenkorbcoo-
kies
>> Authentifizierungscookies für Dienste, bei
denen eine Authentifizierung erforderlich ist
Authentifizierungscookies werden verwendet,
um den Nutzer zu identifizieren, nachdem er
sich angemeldet hat, z.B. zum Onlinebanking.
Sie werden benötigt, damit sich der Nutzer beim
Aufruf von einzelnen Unterseiten innerhalb des
geschützten Bereichs nicht immer wieder erneut
authentifizieren muss. Authentifizierungscoo-
kies sind in der Regel Sitzungscookies. Hat der
Nutzer aber auf Abfrage bestätigt, dass er an-
gemeldet bleiben möchte, dürfen die Cookies
auch über die Sitzung hinaus als sog. persisten-
te Cookies gespeichert werden.
2 Art.-29-Datenschutzgruppe, Stellungnahme 04/2012 zur
Ausnahme von Cookies von der Einwilligungspflicht, WP 194 v.
07.06.2012, S. 7 ff., dort finden sich auch noch weitere Bei-
spiele einwilligungsfrei möglicher Cookies.
4
>> Nutzerorientierte Sicherheitscookies (ob
Sind Endgerätzugriffe zur Reichwei-
auch Cookies, die Sicherheitsinteressen der An- tenmessung/Webanalyse einwilli-
bieter/-in dienen, z.B. der Vermeidung von Klick- gungsfrei möglich?
betrug, ist umstritten)
>> Cookies zur Anpassung der Benutzerober- Viele Webseitenbetreiber möchten
fläche analysieren, welche Inhalte des
Solche Cookies werden verwendet, um die nicht Internetangebots besonders häu-
mit einer anderen dauerhaften Kennung wie fig gelesen werden, welche Fehler
etwa einem Benutzernamen verknüpften Ein- auftreten oder an welcher Stelle die
stellungen, z.B. Einstellung zur Sprache, für Besucher die Seite verlassen usw.
einen mehrere Webseiten umfassenden Dienst (sog. Reichweitenmessung).
zu speichern. Inwieweit zu diesen Zwecken
durchgeführte Endgerätzugriffe
unbedingt erforderlich i.S.v. § 25
Soweit auf einer Website nur ein- Abs. 2 Nr. 2 TTDSG sind, ist nicht
willigungsfrei mögliche Cookies abschließend geklärt. Nach Auf-
eingesetzt werden, bedarf es keines fassung der französischen Daten-
Cookie-Banners. Es genügt über die schutzbehörde CNIL soll die Rege-
eingesetzten Cookies in der Daten- lung eine „einfache“ Webanalyse
schutzerklärung der Website zu rechtfertigen können, vorausge-
informieren. setzt, diese wird in anonymisier-
ter Form vom Website-Betreiber
selbst vorgenommen und dient
ausschließlich der Fehlerbehebung,
Regelmäßig als einwilligungsbedürftig anzuse- der Optimierung der technischen
hen ist insbesondere das Setzen bzw. Auslesen von Performance oder auch der Analyse
Werbecookies oder sonstige Endgerätzugriffe zum der konsultierten Inhalte.3
Zwecke der Informationsgewinnung zu Werbe-zwe- Unstreitig kommen Verfahren
zur Reichweitenmessung jedenfalls
cken. Die Generierung von Werbeeinnahmen durch
dann einwilligungsfrei in Betracht,
Ausspielen interessenbasierter Werbung steht in
sofern ein Endgerätzugriff ver-
keinem funktionalen Zusammenhang zur Erbrin-
mieden und die Analyse z.B. im
gung des Telemediendienstes. Zwar mag es aus
Wege der Logfile-Analyse oder des
Sicht des Diensteanbieters zur Finanzierung sei- Server-Side-Tracking ohne Cookies
nes Geschäftsmodells ggf. wirtschaftlich erforder- durchgeführt wird.4
lich sein, bestimmte – typischerweise werbliche –
Zugriffe und anschließende Datenverarbeitungen
durchzuführen. Eine bloß wirtschaftliche Erforder-
lichkeit ist i.R.v. § 25 Abs. 2 Nr. 2 TTDSG aber nicht
als ausreichend anzusehen.

3 CNIL, Lignes directrices « cookies et autres traceurs »

Rz. 50 f.; ähnlich auch die italienische Datenschutzaufsicht
Garante per la protezione dei dati personali, Linee guida coo-
kie e altri strumenti di tracciamento – 10.06.2021.
4 Vgl. hierzu LfDI BW FAQ „Cookies und Tracking durch Betreiber
von Webseiten und Hersteller von Smartphone-Apps“, Version
2.0.1 (März 2022), S. 13 ff.

GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz

Stand: Januar 2023 5
 Anders als durch die DS-GVO wer-
den durch § 25 TTDSG auch juris-
tische Personen geschützt. Sofern
mit dem Zugriff auf ein Endeinrich-
tung keine personenbezogenen
Datenverarbeitungen einhergehen,
ist allein das TTDSG maßgeblich.
Gehen mit dem Endgerätezugriff
auch personenbezogene Datenver-
arbeitungen einher, kommen inso-
weit § 25 und die DS-GVO nebenein-
ander zur Anwendung.
Ausschließlich nach der DS-GVO
bestimmt sich die Weiterverarbei-
tung personenbezogener Daten,
welche beim Zugriff auf die Endein-
richtung angefallen sind.
2.3 Cookie-/Consent-Banner
Einwilligungen im Zusammenhang mit Cookies
– und ggf. verbundenen Onlinedatenverarbeitun-
gen5 – werden üblicherweise mittels einer der Web-
sitenutzung vorgeschalteten Abfrage eingeholt, die
beim ersten Aufruf eingeblendet wird und in der
Praxis als sog. Cookie- oder auch Consent-Ban-
ner bezeichnet wird. Banner, mit denen eine Ein-
willigung nach TTDSG und/oder DS-GVO eingeholt
werden soll, müssen den Anforderungen genügen,
welche die DS-GVO an das Vorliegen einer wirk-
samen Einwilligung stellt (Art. 7 DS-GVO, Art. 4
Nr. 11 DS-GVO). Für die TTDSG-Einwilligung ergibt
sich dies über einen Verweis in § 25 Abs. 1 S. 2
TTDSG.
5 Vgl. dazu den Abschnitt zur DS-GVO.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
Welche konkreten Anforderungen
an die Cookie-Banner-Gestaltung
zu stellen sind, ist bezogen auf
diverse Aspekte strittig. Praxisrele-
vant im Hinblick auf die Einholung
einer wirksamen Einwilligung sind
insbesondere die im Folgenden
aufgeführten Gesichtspunkte.
Unmissverständliche Erklärung oder sonstige
eindeutige bestätigende Handlung
>> „Planet49“-Entscheidung6 des EuGH: Keine
voreingestellten Ankreuzkästchen, aktive
Handlung des Nutzers nötig
>> Keine Einwilligung durch Weitersurfen (str.)
>> Nudging, d.h. Beeinflussung der Nutzerent-
scheidung durch optische Gestaltung der Schalt-
flächen, ist zulässig, solange es „maßvoll“
erfolgt
>> Nach DSK regelmäßig „Reject All“-Button auf
erster Ebene des Cookie-Banners nötig (str.)
Freiwilligkeit
>> Sog. Kopplungsverbot (Art. 7 Abs. 4 DS-GVO)
Informiertheit
>> Für wirksame Einwilligung nötige Mindest-
informationen (allgemein):7
Identität des Verantwortlichen; Zweck jedes
Verarbeitungsvorgangs, für den die Einwilligung
eingeholt wird; (Art der) Daten, die erhoben
und verwendet werden; Hinweis auf Widerrufs-
recht; ggf. Informationen über die Verwendung
der Daten für eine automatisierte Entschei-
dungsfindung; ggf. Angaben zu möglichen Risi-
ken von Datenübermittlungen ohne Vorliegen
eines Angemessenheitsbeschlusses und ohne
geeignete Garantien nach Art. 46 DS-GVO
6 EuGH, Urt. v. 01.10.2019 – C-673/17.
7 EDSA, Leitlinien 05/2020 zur Einwilligung gem. Verordnung
2016/679, Version 1.1 (04.05.2020), Rn. 64.
6
>> Bei Einwilligungen in Cookies zu Werbezwecken
gehören zu den Mindestinformationen auch An-
gaben zur Funktionsdauer der Cookies und dazu,
ob Dritte Zugriff auf die Cookies erhalten kön-
nen. 8
>> Beachtung der weitergehenden Informations-
pflichten nach Art. 13 f. DS-GVO
>> Prinzip der gestuften Informationsübermitt-
lung („layered privacy notice“)
Für die Nutzerentscheidung wesentliche Infor-
mationen gehören regelmäßig unmittelbar auf
die erste Bannerebene (insbes. Verarbeitungs-
zwecke und ob auch Dritte auf das Endgerät
zugreifen bzw. anfallende Informationen im Ei-
geninteresse verarbeiten); bezüglich weite-
rer Informationen genügt es, dass diese deut-
lich sichtbar verlinkt sind bzw. sich auf der
nächsten Banner Ebene befinden.
Ihre Einwilligung
Alles
akzeptieren
Alles
ablehnen
Abbildung: Gestaltungsvorschläge für Cookie-Banner der französischen Datenschutzaufsicht CNIL
8 EuGH, Urt. v. 01.10.2019 – C-673/17 („Planet49“-Entschei-
dung).
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
Nachweis der Einwilligung: Es genügt, nachzuwei-
sen, dass/welche Prozesse implementiert wurden.
Widerruf der Einwilligung
>> Widerruf muss so einfach wie die Erteilung der
Einwilligung sein (Art. 7 Abs. 3 S. 4 DS-GVO)
>> DSK: „stets sichtbarer“ Direktlink bzw. Icon
Nachfolgend finden sich Gestaltungsvorschläge
der französischen CNIL. Abhängig von der Risiko-
bereitschaft können auch andere Gestaltungen ge-
wählt werden. Vertretbar erscheint z.B. eine leichte
optische Betonung der Einwilligungs- im Verhältnis
zur Ablehnoption (sog. Nudging). Konkrete Gestal-
tungsvorschläge iS eines „Good Practice“ wurden
auch iR einer Initiative von ConPolicy entwickelt
(https://www.conpolicy.de/data/user_upload/
Pdf_von_Publikationen/2023_01_26_Cookie_Gui-
delines.pdf).
Fortfahren ohne
Einwilligung
9 Délibération n° 2020-092 du 17 septembre 2020 portant ad-
option d’une recommandation proposant des modalités pra-
tiques de mise en conformité en cas de recours aux «cookies
et autres traceurs»
7

Wichtig: Websitebetreiber bleiben
auch bei Einsatz sog. Consent-
Management-Plattformen (CMP)
verantwortlich für die Wirksamkeit
der hierüber eingeholten Erklärun-
gen bzw. die Rechtskonformität der
Verarbeitungen im Zusammenhang
mit der Website. Zusicherungen
des CMP-Anbieters, dass der Web-
sitebetreiber mit seinem Produkt
auf der rechtssicheren Seite sei,
vermögen allenfalls zu Regress-
möglichkeiten im Verhältnis zu
diesem zu führen, können den
Websitebetreiber aber im Verhält-
nis zur betroffenen Person bzw. zur
Aufsichtsbehörde nicht entlasten.
2.4 Anwendbarkeit von § 25 TTDSG
auf Cookies vergleichbare Verfah-
ren, z.B. sog. Browser- oder De-
vice-Fingerprinting
§ 25 TTDSG regelt nicht nur den Einsatz von Coo-
kies, sondern ist technikneutral. Erfasst werden
etwa auch Zugriffe auf Endgeräte durch Apps so-
wie Gegenstände im Internet der Dinge (Internet
of Things – IoT), z.B. Küchen- oder Alarmgeräte.
Ob auch alternative Onlinetrackingverfahren von
der Norm erfasst werden, wie z.B. das Browser-/
Device-Fingerprinting, hängt von deren konkreter
Funktionsweise ab, konkret davon, ob hierzu ein
„Zugriff“ i.S.v. § 25 TTDSG auf das Endgerät statt-
findet.
Beim sog. Fingerprinting erfassen die Webserver
unterschiedliche Merkmale der Browser der Besu-
cher und ermitteln auf dieser Basis jeweils einen
individuellen digitalen Fingerabdruck, mittels des-
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
sen die Nutzer – bzw. genauer: ihre Browser – später
wiedererkannt werden können. Zu den verwendeten
Merkmalen zählen etwa Bildschirmauflösungen, Be-
triebssystemversionen, installierte Schriften oder
Spracheinstellungen.
Die nationale Datenschutzkonferenz (DSK) lehnt
eine umfassende Anwendung des § 25 TTDSG auf
derartige Verfahren ab. Sie differenziert zwischen
dem Zugriff auf Daten, die beim Abruf eines Te-
lemediendienstes aufgrund von Browsereinstellun-
gen automatisch übermittelt und insofern nur noch
„passiv“ entgegengenommen werden, und dem Zu-
griff auf Daten, die vor Entgegennahme „aktiv“,
z.B. mittels JavaScript-Code, abgefragt wurden.
Nur im letztgenannten Fall liege, so die DSK, ein
„Zugriff“ i.S.v. § 25 TTDSG vor.10
3. DS-GVO
3.1 Anwendungsbereich der DS-GVO
Gemäß Art. 2 Abs. 1 ist die DS-GVO sachlich an-
wendbar, sofern personenbezogene Daten ganz
oder teilweise automatisiert verarbeitet werden
(Alt. 1) oder zwar keine automatisierte Verarbei-
tung erfolgt, aber Daten verarbeitet werden, die in
einem „Dateisystem“ gespeichert sind oder gespei-
chert werden sollen (Alt. 2). Art. 2 Abs. 2 DS-GVO
regelt Ausnahmen von dem durch Abs. 1 vorgege-
benen sachlichen Anwendungsbereich, wobei für
den Bereich des Onlinedatenschutzes vor allem die
sog. „Haushaltsausnahme“ Bedeutung hat, nach
welcher die DS-GVO keine Anwendung findet auf
die Verarbeitung personenbezogener Daten durch
natürliche Personen zur Ausübung ausschließlich
persönlicher oder familiärer Tätigkeiten.
Bei den vorliegend relevanten Onlinesachver-
halten, also Verarbeitungen im Zusammenhang mit
Websites und Apps, liegt stets auch eine ganz oder
teilweise automatisierte Datenverarbeitung vor.
10 DSK, Orientierungshilfe der Aufsichtsbehörden für
Anbieter/-innen von Telemedien ab dem 1. Dezember 2021
(OH Telemedien 2021), Version 1.1, Rn. 20 ff.
8
Soweit Websites und Apps für unternehmerische
Es gibt genügend Fälle, in denen
Zwecke eingesetzt werden, kommt auch ein Ein- die Zuordnung zu einer natürli-
greifen der Haushaltsausnahme nicht in Betracht. chen Person nicht möglich ist,
z.B. bei Nutzung von Internetcafes
oder offenen WLANS ohne Regis-
Entscheidend für die Einschlägigkeit trierungspflicht. Die theoretisch
der DS-GVO auf Onlinesachverhalte mögliche Unterscheidung zwischen
ist damit regelmäßig v.a., inwiefern personenbezogenen und nicht
im Zusammenhang mit Websites personenbezogenen IP-Adressen
und Apps personenbezogene Daten ist für die Praxis allerdings zumeist
von Nutzer/-innen verarbeitet wer- ohne Konsequenz. Wenn nämlich
den. Nach der Legaldefinition in im konkreten Anwendungsszenario
Art. 4 Nr. 1 DS-GVO sind personen- nicht sicher ausgeschlossen werden
bezogene Daten „alle Informatio- kann, dass ein Pool von IP-Adressen
nen, die sich auf eine identifizierte auch personenbeziehbare Adressen
oder identifizierbare natürliche enthält, sind im Ergebnis alle IP-
Person […] beziehen […]“. Adressen als personenbezogen zu
behandeln.
Cookies an sich bzw. über den
Einsatz von Cookies gesammelte
Informationen in diesem Sinne können etwa Name, Datensätze weisen für sich betrach-
Geschlecht, Kontoverbindung, Adresse oder Be- tet zunächst keinen Personenbezug
stellinformationen i.R.d. des Onlineshopping sein, auf. Denn selbst wenn Cookies eine
über Messengerdienste ausgetauschte Nachrichten eindeutige Kennung enthalten, was
(Kommunikations- und Inhaltsdaten) oder sonstige nicht der Fall sein muss, bedeutet
Spuren, die Nutzer im Netz hinterlassen. dies nicht ohne Weiteres, dass auch
eine Zuordnung der Kennungen zu
konkreten natürlichen Personen
Sind IP-Adressen und Cookies möglich ist.
personenbezogene Daten mit der Hat der Nutzer aber beim An-
Folge, dass bei deren Verarbeitung bieter zu einem früheren Zeitpunkt
die DS-GVO zu beachten ist? Identifikationsmerkmale hinterlas-
sen oder hinterlässt er solche zu
Auf der Grundlage von Vorgaben des einem späteren Zeitpunkt, z.B. im
EuGH11 hat der BGH12 entschieden, Rahmen eines Bestell- oder Regis-
dass die dynamische IP-Adresse für trierungsvorgangs, ist ein entspre-
den Webseitenbetreiber ein perso- chender Personenbezug der Infor-
nenbezogenes Datum darstellt. Aus mationen gegeben.13
dieser Rechtsprechung kann zwar
nicht der Schluss gezogen wer-
den, jede (dynamische) IP-Adresse
sei stets ein personenbezogenes
Datum.

11 EuGH, Urt. v. 19.10.2016 – C-582/14 (Rechtssache Breyer), 13 Kühling/Buchner/Klar/Kühling, DS-GVO Art. 4 Nr. 1 Rn. 36.
Rn. 38 ff.
12 BGH, Urt. v. 16.05.2017 – VI ZR 135/13.

GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz

Stand: Januar 2023 9
3.2 Anforderungen der DS-GVO an
(Online-)Datenverarbeitungen
und Verhältnis von DS-GVO und
TTDSG
Damit die Verarbeitung personenbezogener Daten
rechtmäßig ist, müssen diese entweder mit Ein-
willigung der betroffenen Person oder auf Basis
einer sonstigen zulässigen Rechtsgrundlage ver-
arbeitet werden (vgl. Erwägungsgrund 40 DS-GVO).
Als sonstige Rechtsgrundlagen im vorgenann-
ten Sinne kommen insbesondere Art. 6 Abs. 1 lit. b
und f DS-GVO in Betracht. Die erstgenannte Norm
ermöglicht erforderliche personenbezogene Da-
tenverarbeitungen im Zusammenhang mit Ver-
trägen und bestimmten vorvertraglichen Konstel-
lationen. Die letztgenannte Bestimmung gestattet
Verarbeitungen zur Wahrung der berechtigten
Interessen des Verantwortlichen oder eines Drit-
ten, sofern nicht die Interessen oder Grundrechte
und Grundfreiheiten der betroffenen Person das
Verarbeitungsinteresse überwiegen.
Wie bereits ausgeführt, kommen § 25 TTDSG und
die DS-GVO-Bestimmungen nebeneinander zur An-
wendung, soweit mit dem Zugriff auf ein Endgerät
eine personenbezogene Datenverarbeitung einher-
geht.
Im Hinblick auf das Zusammen-
spiel der beiden Regelungskom-
plexe können folgende Grundsätze
zusammengefasst werden:
Werden i.R. des Zugriffs auf die
Endeinrichtung personenbezogene
Daten verarbeitet, wird regelmä-
ßig, wenn die Vorgaben von § 25
Abs. 2 TTDSG eingehalten sind, auch
ein DS-GVO-Zulässigkeitstatbestand
einschlägig sein, regelmäßig
14 Schwartmann/Reif/Burkhardt im Heidelberger Kommentar
zum TTDSG, § 25 Rn. 152 f.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
Art. 6 Abs. 1 Buchst. b (Vertrag)
oder f (sog. Interessenabwägung).
Bedarf es nach § 25 TTDSG der
Einwilligung, so kann diese die
personenbezogene Datenverarbei-
tung mit abdecken.
Wichtig ist, dass dies anders-
herum nicht der Fall ist: Allein der
Umstand, dass eine mit dem End-
gerätezugriff verbundene Daten-
verarbeitung nach Art. 6 DS-GVO
legitimierbar ist, bedeutet nicht,
dass auch eine Zulässigkeit nach
§ 25 anzunehmen ist.
So darf nach Erwägungsgrund 47 S. 7 DS-GVO eine
Verarbeitung personenbezogener Daten zum Zwe-
cke der Direktwerbung grundsätzlich als „eine ei-
nem berechtigten Interesse dienende Verarbeitung“
betrachtet werden. Werbliche Datenverarbeitun-
gen können also im Grundsatz über eine Inter-
essenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO
legitimiert werden.15 Endgerätzugriffe zu Werbe-
zwecken, insbes. Werbecookies, sind jedoch nach
§ 25 TTDSG einwilligungsbedürftig (vgl. oben un-
ter 2.2). Der Endgeräteschutz nach TTDSG kennt
anders als die DS-GVO keine Interessenabwägung.
3.3 Betroffenenrechte
14
3.3.1 Allgemeines
Betroffenenrechte sind Ansprüche und Gestaltungs-
möglichkeiten, welche den von der personenbe-
zogenen Datenverarbeitung betroffenen Personen
zustehen. Diese können sich insbesondere, aber
nicht nur aus der DS-GVO (Kapitel III und Kapi-
tel VIII) ergeben. Innerhalb der Betroffenenrechte
kommt dem Auskunftsrecht (Art. 15 DS-GVO) zent-
15 Es besteht allerdings ein Widerspruchsrecht des Betroffenen,
auf das dieser auch hinzuweisen ist (vgl. Art. 21 Abs. 2
und 4 DS-GVO).
10
rale Bedeutung zu, ist doch die Information darüber,
ob und ggf. welche Daten der Verantwortliche über
die betroffene Person verarbeitet, Grundvorausset-
zung für die Geltendmachung weiterer Rechte, etwa
auf Berichtigung, Löschung oder Schadensersatz.
Auskunftsansprüche können auch gegenüber Web-
seitenbetreibern und sonstigen Onlineanbietern
geltend gemacht werden. Hierauf soll im Folgen-
den ebenso näher eingegangen werden wie auf das
Recht auf bzw. die Pflicht zur Datenlöschung (Art.
17 DS-GVO) im Zusammenhang mit Onlineangebo-
ten.
3.3.2 Auskunft
Nach Art. 15 Abs. 1 DS-GVO hat die betroffene
Person das Recht, vom Verantwortlichen eine Be-
stätigung darüber zu verlangen, ob sie betreffende
personenbezogene Daten verarbeitet werden. So-
fern dies der Fall ist, hat sie Anspruch auf Erteilung
weiterer, gesetzlich definierter Einzelinformationen
zur Datenverarbeitung und den insoweit bestehen-
den Datenschutzrechten.
Wird der Auskunftsanspruch gegenüber einem
Webseitenbetreiber geltend gemacht, so rich-
tet sich dieser u.a. auf die mit dem Nutzer aus-
getauschten Kommunikationsinhalte, also z.B. bei
einem Onlineshop Informationen zu den bestellten
Produkten und zur Bezahlung und Lieferung der
gekauften Ware. Der Auskunftsanspruch bezieht
sich also auf die im Onlineshop-System vorhan-
denen (Inhalts-)Daten. Dem Auskunftsanspruch
unterliegen aber auch vom Verantwortlichen zum
jeweiligen Nutzer gespeicherte Zugangsinformatio-
nen sowie, soweit vorhanden, Informationen zum
jeweiligen Nutzerverhalten (Seitenbesuche, aufge-
rufene Informationen, Downloads etc.).
Da auch für IP-Adressen regelmäßig von einer
Personenbeziehbarkeit auszugehen ist,16 ist eine
praxisrelevante Frage, inwiefern sich ein geltend
gemachter Auskunftsanspruch auch auf vom Ver-
16 Vgl. hierzu oben unter 3.1.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
antwortlichen mitgeloggte IP-Adressen bezieht.
Insofern ist zu differenzieren. Wird die IP-Adresse
in einem Zusammenhang mitgeloggt, in dem der
zugehörige surfende Nutzende für den Websei-
tenbetreiber nicht zu identifizieren ist, kann sich
der/die Verantwortliche auf Art. 11 Abs. 1, Abs. 2
S. 2 DS-GVO berufen.17 Sofern IP-Adressen allein
aus Gründen der Datensicherheit gespeichert wer-
den, um die Stabilität und die Betriebssicherheit
des Internetauftritts zu gewährleisten,18 und sepa-
rat verarbeitet werden, kann eine Ausnahme von
der Auskunftspflicht im Übrigen ggf. über § 34
Abs. 1 Nr. 2 b) BDSG begründet werden. Wird die
IP-Adresse hingegen z.B. im Rahmen eines Bestell-
vorgangs durch einen angemeldeten Nutzer gespei-
chert, greift keine Ausnahme von der Auskunfts-
pflicht.
3.3.3 Löschung
Gemäß Art. 17 DS-GVO kann die betroffene Person
vom Verantwortlichen die unverzügliche Löschung
ihn betreffender personenbezogener Daten verlan-
gen und der Verantwortliche ist verpflichtet, per-
sonenbezogene Daten unverzüglich zu löschen, so-
fern einer der in Abs. 1 der Vorschrift genannten
Löschgründe vorliegt und im konkreten Fall kein
Ausnahmetatbestand nach Abs. 3 eingreift. Ein
Löschgrund besteht insbes., wenn personenbezoge-
ne Daten für die Zwecke, zu denen sie erhoben oder
sonst verarbeitet wurden, nicht mehr notwendig
sind (Zweckfortfall, Art. 17 Abs. 1 lit. a DS-GVO).
Ausnahmen von der Löschpflicht können sich ins-
bes. ergeben, sofern einer Datenlöschung handels-
oder steuerrechtliche Aufbewahrungspflichten
entgegenstehen (Art. 17 Abs. 3 lit. b DS-GVO).
17 Franck in: Gola/Heckmann, DS-GVO BDSG, Art. 12 Rn. 32.
18 In diesem Fall sind für die Logfiles angemessene Löschfristen
festzulegen, vgl. dazu auch den nachfolgenden Abschnitt zur
Datenlöschung.
11

Da die Löschverpflichtung des Ver-
antwortlichen unabhängig von ei-
nem Antrag der betroffenen Person
besteht, sollte jede/r Verantwortli-
che, der/die personenbezogene Da-
ten verarbeitet, über ein Konzept
zur Datenlöschung verfügen. Die
Löschfristen sind dabei für jede
verarbeitete Datenart individuell
zu bestimmen.
Webserver-Logfiles dürfen
zu eigenen Sicherheitszwecken
gespeichert werden, um die Stabi-
lität und die Betriebssicherheit des
Internetauftritts zu gewährleis-
ten, sind aber zeitnah wieder zu
löschen, soweit kein Zwischenfall
aufgetreten ist.
Hinsichtlich der konkreten
Löschfrist orientiert sich die Praxis
vielfach an einer BGH-Entschei-
dung aus 2014, wonach Internet-
serviceprovider IP-Adressen der
Nutzer für maximal sieben Tage
anlasslos speichern dürfen, um
Netzstörungen und Fehler zu ver-
hindern.19 Nach dem Bayerischen
Landesamt für Datenschutzaufsicht
soll auch eine Löschfrist von 30
Tagen genügen.20
Soweit Kundendaten im Zusammenhang mit ei-
nem Onlineshop verarbeitet werden, sind die han-
dels- und steuerrechtlichen Aufbewahrungsfristen
zu beachten, wonach etwa Rechnungen und Bu-
chungsbelege für einen Zeitraum von 10 Jahren
19 BGH, Urteil vom 3. Juli 2014 – III ZR 391/13.
20 https://www.lda.bayern.de/media/muster_1_verein_ver-
zeichnis.pdf.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
vorzuhalten sind. Solange entsprechende Fristen
laufen, dürfen personenbezogene Daten auch dann
nicht gelöscht werden, wenn die betroffene Person
es verlangt.
Verlangt ein Kunde vom Onlineshop-Betreiber
die Löschung seines Kundenkontos, ist dieser
verpflichtet dem Löschwunsch des Kunden zu ent-
sprechen. Daten, die aus gesetzlichen Gründen ge-
speichert bleiben müssen, sind für den laufenden
Betrieb zu sperren und separat aufzubewahren.21
Angesichts des Grundsatzes der Speicherbegrenzung
(Art. 5 Abs. 1 lit. e DS-GVO) sind Verantwortliche
im Übrigen verpflichtet Löschkonzepte zu erstellen,
in denen festgelegt ist, wann inaktive („verwais-
te“) Kundenkonten gelöscht werden.22
3.4 Datenschutzerklärung
Ein zentraler Grundsatz der DS-GVO ist das Erfor-
dernis der Transparenz der personenbezogenen
Datenverarbeitung (Art. 5 Abs. 1 lit. a DS-GVO).
Die von der Verarbeitung betroffene Person, hier
der/die Internetnutzer/-in, soll nachvollziehen
können, wer ihre/seine Daten zu welchen Zwecken
verarbeitet. Hinsichtlich der Datenverarbeitungen
im Zusammenhang mit einer Webseite dies dadurch
gewährleistet, dass der Anbieter auf seiner Seite
Informationen zum Datenschutz zur Verfügung zu
stellen hat (sog. „Datenschutzerklärung“). Die
konkrete Verpflichtung, solche Informationen vor-
zuhalten, ergibt sich aus Art. 13 DS-GVO, der die
Informationspflichten bei Erhebung personenbezo-
gener Daten bei der betroffenen Person regelt. Die
Datenschutzerklärung sollte von jeder Unterseite
der Website aus mit einem Klick erreichbar sein.23
21 BayLDA, 28. Tätigkeitsbericht 2018, S. 146.
22 LfDI Berlin, Jahresbericht 2018, S. 125 und 132.
23 Art.-29-Datenschutzgruppe WP 260 rev.01 Rn. 11; bei Apps
ist eine ausreichende Erreichbarkeit nach dem Papier auch
dann gegeben, wenn zum Aufruf der Erklärung zwei Klicks
getätigt werden müssen. Beim Impressum, vgl. dazu unter
4., sollen generell zwei Klicks ausreichend sein, BGH Urt. v.
20.03.2006 – I ZR 228/03.
12
Den Vorgaben an die Erreichbarkeit wird vielfach
durch Aufnahme eines Links im Header oder Footer
neben dem Impressum nachgekommen.
Abbildung: Footer der GDD-Website mit Link zu
Impressum und Datenschutzerklärung (Beispiel)
Ein allgemein gültiges Muster für die Datenschutz-
erklärung kann es nicht geben, denn Webseiten
weisen unterschiedliche Funktionalitäten auf und
haben in der Folge über unterschiedliche Datenver-
arbeitungen zu informieren. In der Praxis stellen
Webseitenbetreiber in der „Datenschutzerklärung“
teilweise auch Informationen zu ihren sonstigen,
nicht im Zusammenhang mit dem Internetauftritt
stehenden Datenverarbeitungen zur Verfügung.
Hierbei handelt es sich um freiwillige Informatio-
nen.
Notwendige Mindestinformationen im Rahmen der
Datenschutzerklärung sind:
>> Name und Kontaktdaten des Verantwortlichen,
z.B. des die Webseite betreibenden Unterneh-
men
>> Kontaktdaten des Datenschutzbeauftragten
(DSB) (soweit benannt) (Hinweis: Die Angabe
des Namens ist nicht notwendig.)
>> Zwecke, für die personenbezogene Daten verar-
beitet werden, sowie die jeweilige Rechtsgrund-
lage
>> Sofern die Verarbeitung auf Grundlage von Art.
6 Abs. 1 lit. f DS-GVO (Interessenabwägung)
erfolgt: Angabe der verfolgten berechtigten In-
teressen
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023
>> Datenempfänger bzw. Kategorien von Daten-
empfängern (soweit relevant)
>> Beabsichtigter Drittlandtransfer von Daten (so-
weit relevant)
>> Dauer der Datenspeicherung bzw. Kriterien für
die Festlegung der Dauer, z.B. im Hinblick auf
die Webserver-Log-Files
>> Informationen zu den Datenschutzrechten der
Nutzer/-innen
Typischerweise werden folgende Themen in der Da-
tenschutzerklärung einer Website behandelt:
>> Bereitstellung der Website und Verarbeitung
von Log-Files
>> Registrierungs- und Log-in-Prozess
>> Verarbeitung von Informationen aus Online-
Bestellungen
>> Bonitätsprüfung, z.B. bei Online-Shops
>> Datenverarbeitung im Zusammenhang mit ei-
nem Kontaktformular
>> Einsatz von Tools zur Reichweitenmessung, d.h.
zur statistischen Auswertung der Nutzung der
Website (Tracking)
>> Interessengerechte Anzeige von Werbung basie-
rend auf vorangegangenem Nutzerverhalten
(Targeting)
>> Einbindung von Social Plug-ins von Facebook,
Twitter, Instagram und Co.
>> Einbindung von Kartendiensten, wie Google
Maps
>> Einsatz von Webfonts, wie z.B. Google Fonts
>> Zahlungsabwicklung, ggf. unter Einsatz von ex-
ternen Dienstleistern
Die Datenschutzerklärung ist ein
reiner Informationstext. Sie ist
kein tauglicher Ort, um Einwilli-
gungserklärungen der Nutzenden
in Datenverarbeitungen im Zusam-
menhang mit der Webseite ein-
zuholen, und sollte von etwaigen
Allgemeinen Geschäftsbedingungen
(AGB) getrennt werden.23
23 Schwartmann/Benedikt/Reif, Datenschutz und ePrivacy,
2020, S. 65 f.
13
4. Anbieterkennzeichnung Nähere Informationen zu den
(„Impressum“) notwendigen Inhalten der Anbieter-
kennzeichnung finden sich z.B. in
den diesbezüglichen Onlinepublika-
Praktisch jede Webseite benötigt tionen der IHKs.
eine sog. Anbieterkennzeichnung.
In der Praxis hat sich für die Anbie-
terkennzeichnung auch der Begriff Die Anbieterkennzeichnung muss nach dem TMG
„Impressum“ durchgesetzt. Der „leicht erkennbar, unmittelbar erreichbar und stän-
Umstand, dass man eine Anbieter- dig verfügbar“ sein. Unmittelbare Erreichbarkeit
kennzeichnung braucht, ergibt sich wird dabei in der Praxis angenommen, sofern die
aus § 5 Telemediengesetz (TMG), der
Anbieterkennzeichnung über max. zwei Klicks er-
auch die notwendigen Inhalte regelt.
reichbar ist.25 Für die Anbieterkennzeichnung und
Es handelt sich hierbei nicht um
die Datenschutzerklärung sollten jeweils eigene
eine datenschutzrechtliche Pflicht,
Bereiche innerhalb des Webauftritts vorgesehen
sondern eine allgemeine Vorgabe an
die Anbieter/in von Telemedien. Die werden.
Pflicht, eine Anbieterkennzeichnung
zu haben, besteht z.B. auch für pri-
vate Websites, Blogs oder Fanpages
bei Facebook.

Nutzer/-innen sind mit Hilfe der Anbieterkenn-

zeichnung in der Lage, Diensteanbieter auf ihre Se-
riosität zu überprüfen, bevor sie deren Dienste in
Anspruch nehmen. Aber auch Unternehmen haben
ein erhebliches Interesse daran, die erforderlichen
Informationen über andere Marktteilnehmer zu er-
langen, um ein wettbewerbsrechtlich einwandfreies
Verhalten durchsetzen zu können. Die Informatio-
nen, die im Rahmen der Anbieterkennzeichnung zur
Verfügung zu stellen sind, entsprechen im Wesent-
lichen denjenigen, die Handelsunternehmen im tra-
ditionellen Rechts- und Geschäftsverkehr beispiels-
weise auf Geschäftsbriefen ohnehin bereitstellen
müssen.

25 BGH Urt. v. 20.03.2006 – I ZR 228/03.

GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz

Stand: Januar 2023 14
 Mehr als Cookies –
ein neuer Rechtsrahmen
für die Onlinewirtschaft!
• komp
etent
• ausge
wogen
• mit Pr
axis-
hinwei
sen

Schwartmann/Jaspers/Eckhardt
Schwartmann/Jaspers/E

TTDSG
2022. 498 Seiten. € 119,
119,–
ISBN 978-3-8114-5753-9

Versandkostenfrei bestellen bei: www.otto-schmidt.de

C.F. Müller GmbH, Waldhofer Str. 100, 69123 Heidelberg
Bestell-Tel. 06221/1859-599
kundenservice@cfmueller.de

GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz

Stand: Januar 2023 15
Gesellschaft für Datenschutz
und Datensicherheit e.V.

Mitglied werden? Mehr Informationen?

https://www.gdd.de/service/mitglied-werden oder eine E-Mail an: info@gdd.de

Eine Mitgliedschaft bietet wesentliche Vorteile:

>> Mitglieder-Nachrichten mit aktuellen Fachinformationen
>> Bezug der Fachzeitschrift RDV (Recht der Datenverarbeitung)
>> Beratung bei konkreten Einzelfragen
>> Zugriff auf Rechtsprechungs- und Literaturarchiv
>> Online-Service „DataAgenda Plus“ (Muster, Checklisten, RDV ONLINE Archiv, Arbeitspapiere etc.)
>> Mitarbeit in Erfahrungsaustausch- und Arbeitskreisen
>> Teilnahme an den kostenfreien GDD-Informationstagen sowie Vergünstigungen bei Seminaren u.v.m.

Schließen Sie sich unseren mehr als 3.800 Mitgliedern an. Eine Mitgliedschaft erhalten Sie schon ab
150,- EUR/Jahr für Privatpersonen und ab 300,- EUR/Jahr für Firmen.

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 228 96 96 75-00
Fax: +49 228 96 96 75-25
www.gdd.de
info@gdd.de
Ansprechpartnerin: RAin Yvette Reif, LL.M.
Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn

Stand:
Version 1.1 (Januar 2023)